Skip to end of metadata
Go to start of metadata

Inhaltsverzeichnis:



Support

Bitte kontaktieren Sie uns per SmartDesk, E-Mail servicedesk@id.ethz.ch oder telefonisch unter +41 44 632 77 77

Service Information and Update

Blog eintrag



Erstellen eines CSR (Certificate Signing Request)


Achtung!

Für den Bezug eines TLS/SSL-Zertifikats muss zuerst ein sogenanntes csr-File erstellt werden.

 Anleitung erstellen CSR

Anleitung für Linux bei SWITCH.

Auf Windows-Systemen kann dies wie folgt gemacht werden:

Zuerst muss ein inf-File erstellt werden. Dazu kann als Vorlage folgender Inhalt verwendet werden:


[NewRequest]

Subject = "CN=DemoServer.ethz.ch,O=ETH Zurich,C=CH"

KeyLength =  2048

KeySpec = 1

Exportable = False

ProviderName = "Microsoft Software Key Storage Provider"

HashAlgorithm = SHA256

MachineKeySet = True

SMIME = False

UseExistingKeySet = False

RequestType = PKCS10

KeyUsage = 0xA0

Silent = True

[Extensions]

2.5.29.17 = "{text}"

_continue_ = "dns=Demo.ethz.ch&"

_continue_ = "dns=AuchDemo.ethz.ch&"

Servernamen anpassen

Bitte ersetzen Sie die Servernamen im obigen Beispiel mit Ihren eigenen Angaben.

Zielserver

Wird das csr-file nicht auf dem System erstellt, wo später das Zertifikat eingesetzt werden soll, muss der Parameter "Exportable" auf "True" gesetzt werden, da es notwendig wird, das Zertifikat zuerst auf dem Windows-System installieren, auf dem das csr-file und damit der private Schlüssel erzeugt wurde.


Mit "certreq -new Demo.inf Demo.csr" das csr-file erzeugt.



Bezug TLS/SSL-Zertifikat


 Anleitung Bezug TLS/SSL-Zertifikat

Es stehen drei Profile zur Auswahl. Die Namen sind durch die Supportgruppe ergänzt.

  • ETH WebServer:
    intern vertraut gegenüber der ETH Root Zertifizierungsstelle. ETH Root Zertifikat und ETH Issuing Zertifikat müssen auf den beteiligten Systemen installiert sein (Download PKI Zertifikatsmanagement). Keine Einschränkung der Anzahl der Adressen. Kann für ein, zwei oder drei Jahre ausgestellt werden. Browser akzeptieren nur Zertifikate mit Gültigkeit ein Jahr, aber für Web-Service zwischen zwei Servern können längere Gültigkeiten verwendet werden.

  • QV WebServer:
    Öffentlich vertraut gegenüber der QuoVadis Root Zertifizierungsstelle. Gültigkeit ein Jahr. Anzahl der Adressen begrenzt auf eins (werden mehrere im CSR angegeben, wird nur die erste verwendet).

  • QV WebServer 10SAN:
    Öffentlich vertraut gegenüber der QuoVadis Root Zertifizierungsstelle. Gültigkeit ein Jahr. Anzahl der Adressen begrenzt auf zehn. Bei der Abrechnung wird unterschieden zwischen Zertifikaten bis drei Adressen und Zertifikaten mit vier bis zehn Adressen.


Über "Choose File" den CSR hochladen.


  • Beim ETH WebServer die Gültigkeit auswählen.

  • Bei "Recipient Email" eine gültige Mail-Adresse einfügen.

  • "Request" Button drücken.

  • Nach einigen Sekunden steht das Zertifikat zum Download bereit.


  • Bei "Show Delivery Formats ..." kann das Format ausgewählt werden und ob das Root- und Intermediate-Zertifikat mit enthalten sein soll

  • Sollte das Zertifikat später nochmals benötigt werden, kann es jederzeit wieder heruntergeladen werden.275px350


Installation TLS/SSL-Zertifikat


 Anleitung Installation TLS/SSL-Zertifikat
  • File öffnen.

  • Zertifikat installieren drücken.

  • Lokale Maschine. Next.

  • Eventuell werden Benutzer und Passwort eines Administrators abgefragt.

  • Next.

  • Finish.

Wird das Zertifikat auf einem anderen Server eingesetzt, dann muss das Zertifikat inklusive des privaten Schlüssels exportiert werden.

Mit certlm.msc die Zertifikatsverwaltung aufrufen.

Das Serverzertifikat mit privatem Schlüssel exportieren.



  • No labels